Fortinet informó esta semana que una vulnerabilidad parcheada recientemente rastreada como CVE-2022-42475 ha sido explotada en ataques altamente dirigidos a organizaciones gubernamentales.
El agujero de seguridad afecta a FortiOS SSL-VPN y puede permitir que un ciberdelincuente remoto no autenticado ejecute código arbitrario o comandos utilizando solicitudes especialmente diseñadas.
La existencia de la vulnerabilidad se reveló el 12 de diciembre de 2022, cuando Fortinet advirtió que estaba al tanto de la explotación.
En una publicación de blog publicada esta semana, el Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Fortinet compartió detalles adicionales, incluida la muestra de malware entregada en los ataques observados, así como el tráfico de red relacionado.
“La complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno”, dijo la firma de seguridad cibernética.
Cuando salió a la luz la existencia de CVE-2022-42475, el investigador Kevin Beaumont dijo que parecía haber sido explotado por un grupo de ransomware, pero después de que surgió información adicional, el experto dijo que en realidad podría haber sido un actor de amenazas patrocinado por el estado disfrazado sus actividades como una operación de ransomware.
Según la nueva información compartida por Fortinet, los piratas informáticos entregaron una variante de un malware genérico de Linux personalizado para apuntar a su sistema operativo FortiOS.
Si bien algunas de las cargas útiles no se pudieron recuperar, el análisis de la compañía indicó que los atacantes estaban tratando de ejecutar comandos, descargar componentes maliciosos adicionales a los sistemas comprometidos y manipular la funcionalidad de registro de FortiOS.
Con respecto a los registros, el malware implementado en el ataque intentó parchear el proceso de registro de FortiOS en un esfuerzo por alterar los registros y evadir la detección. El malware también es capaz de eliminar el proceso de registro.
No es raro que los actores maliciosos exploten las vulnerabilidades en los productos de Fortinet en sus ataques, y el proveedor admitió en el pasado que algunos clientes son lentos cuando se trata de parchear, incluso vulnerabilidades explotadas activamente.
Según los datos del Catálogo de Vulnerabilidades Explotadas Conocidas de CISA, un total de nueve vulnerabilidades de productos de Fortinet han sido explotadas en ataques desde 2018.
Fuente: securityweek.com
